▼ 日本に対するGDPRの十分性認定について

欧州委員会は2018年9月5日、日本に対するGDPRの十分性認定について、承認する手続きに入り、年末までに正式承認される見通しになりました。

今回の欧州委員会の決定を受けて、個人情報保護委員会では個人情報保護法に基づき、「外国にある第三者が個人情報保護委員会が認めた国に所在する場合」にEUを指定する予定です。

※本記事で記載する「EU」はEU域内28ヵ国とノルウェー、アイスランド、リヒテンシュタインを加えたEEA加盟31ヵ国の意味合いで使用します。

これにより日本-EU間で個人データを相互に円滑に移転できる枠組みが出来ることになります。
EU-日本は円滑に個人データの移転が可能になりますが、アメリカ合衆国を経由(データセンタ、クラウドなども含む)している場合は、注意が必要です。

2018年7月、欧州議会は、アメリカ合衆国の個人データ保護が不十分であるとして、プライバシーシールドの停止を決議しました。
今後の動向に注意が必要ですが、このままプライバシーシールドが廃止になると、EU⇒アメリカ合衆国⇒日本、の個人データの再移転にはGDPRの規制が及びます。

その場合は、SCC(標準契約条項)/ SDPC(標準データ保護条項)やBCR(拘束的企業準則)等の対応が考えられます。

また、「十分性認定」はEUから日本への個人データの「移転のみ」が認められます。

▼ GDPRと個人情報保護法における事業者の義務の例

  個人情報保護法 GDPR
センシティブデータ 取得と提供には本人の事前同意が必要 原則取扱い禁止
保有個人データ 6ヵ月以上保有の個人データのみ対象 全ての個人データが対象
削除(消去)請求権 次の場合に認められる

  • 利用目的による制限に違反して取扱われている場合
  • 適正取得義務に違反して取得された場合
次の場合に認められる

  • 利用目的との関連で、もはや必要ない場合
  • 一部の法的根拠に基づく取扱いについてその根拠が失われた場合
  • 不適法に個人データが取扱われた場合
データポータビリティの権利 開示請求権あり 認められる
データの取扱の記録義務 第三者提供時のみ対象 全ての取扱いが対象
データ侵害時の通知義務 委員会等訓示に従い報告する努力義務がある。時間制限の規定なし リスクをもたらす可能性が高い場合には、72時間以内に通知する義務
データ保護オフィサー 任命義務なし
ただし従業者の監督義務や安全管理措置を講じる義務あり
次の場合に任命義務あり

  • 定期的かつ体系的な大規模監視を必要とする場合
  • 大規模のセンシティブデータを処理する場合

以上のようにGDPRと我が国の個人情報保護法には、当然ながら、差異があります。
欧州委員会が日本を十分性認定の認定国手続に入ったことで、個人情報保護委員会は、EUから日本へ移転される個人データに対する補完的ルールを公開しました。この補完的ルールは法的拘束力を持ちます

<個人情報保護委員会の補完的ルールへのリンク>
「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」

補完的ルールの要点が下記になります。

補完的ルールの項目 内容
要配慮個人情報の範囲 「性生活」「性的指向」「労働組合に関する情報」を、要配慮個人情報と同様の取扱いにする。
保有個人データ 消去することとしている期間に関わらず、保有個人データとして取扱う。
利用目的の特定、利用目的による制限
  • EU域内から個人データの提供を受ける際に、特定された利用目的を含め、その取得の経緯を確認し、記録する。
  • EU域内から個人データの提供を受けた他の個人情報取扱事業者から、個人データの提供を受ける場合、特定された利用目的を含め、その取得委経緯を確認し、記録する。
外国にある第三者への提供の制限 本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得る。(インフォームド・コンセント)
匿名加工情報 匿名加工情報として扱う場合、加工方法に関する情報を削除することにより、何人にとっても再識別を不可能とする場合に限る。

補完的ルールの施行日は、EUによる日本の十分性認定の決定が効力を生ずる日になるので注意して下さい。

■ まとめ

  • 「十分性認定」はEUから個人データの移転のみを認めるもの。
  • 個人情報保護委員会が補完的ルールを発表

弊社GDPRコンサルティングサービスは下記リンクをご参照下さい。
https://www.crosshead.co.jp/products/sec_all/gdpr/